公司保密管理情況報(bào)告_第1頁
公司保密管理情況報(bào)告_第2頁
公司保密管理情況報(bào)告_第3頁
公司保密管理情況報(bào)告_第4頁
公司保密管理情況報(bào)告_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

#/17階段工作階段工作標(biāo)準(zhǔn)分級保護(hù)實(shí)施流程涉及單位管理辦法、技術(shù)妾求

保密法系統(tǒng)定級—保密局*

備慕設(shè)計(jì)指南、技術(shù)要求

管理規(guī)范、安全產(chǎn)品

標(biāo)準(zhǔn)工程盟理規(guī)范測評指癇技術(shù)要求、管理規(guī)范

保密耆理指南測評指南是保密局/評審專F?家組〔召開方<否案評審會(huì))工稈實(shí)施系統(tǒng)測評管理辦法、技術(shù)妾求

保密法系統(tǒng)定級—保密局*

備慕設(shè)計(jì)指南、技術(shù)要求

管理規(guī)范、安全產(chǎn)品

標(biāo)準(zhǔn)工程盟理規(guī)范測評指癇技術(shù)要求、管理規(guī)范

保密耆理指南測評指南是保密局/評審專F?家組〔召開方<否案評審會(huì))工稈實(shí)施系統(tǒng)測評系統(tǒng)審批是1-2實(shí)施過程概述汀汀詳細(xì)系統(tǒng)識別確定最離密級確定尿護(hù)等級上報(bào)審批風(fēng)險(xiǎn)評姑確定尿護(hù)要求規(guī)劃浚計(jì)方第上報(bào)審查論證制定實(shí)施保密制度確定工稈監(jiān)理方確宦產(chǎn)品集成方提交測評申請?zhí)峤粶y評資料提交審批申it提交審批資料提交陵止批申請銷毀涉密設(shè)備資料F面對整個(gè)過程做簡單的概述。1.2.1系統(tǒng)定級依據(jù)《保密法》密級范圍的規(guī)定,本單位、各部門組織開展對所屬信息系統(tǒng)摸底調(diào)查工作。按照涉密信息系統(tǒng)所處理信息的最高密級,由低到高劃分為秘密、機(jī)密和絕密三個(gè)等級。>識別信息系統(tǒng)調(diào)查信息系統(tǒng)所在單位的組織管理結(jié)構(gòu)、管理策略、部門設(shè)置和部門在業(yè)務(wù)運(yùn)行中的作用、崗位職責(zé)、系統(tǒng)管理、使用、運(yùn)維的責(zé)任部門確定業(yè)務(wù)流、數(shù)據(jù)流。>明確系統(tǒng)定級依據(jù)業(yè)務(wù)流所產(chǎn)生信息明確最高密級。>確定系統(tǒng)保護(hù)級別根據(jù)本單位信息的最高密級,依據(jù)BMB-17確定系統(tǒng)的保護(hù)等級。并整理定級資料上報(bào)保密部門審批1.2.2方案設(shè)計(jì)>選擇建設(shè)方選擇具備國家涉密資質(zhì)的建設(shè)方設(shè)計(jì)信息系統(tǒng)安全保障體系。>系統(tǒng)風(fēng)險(xiǎn)評估在體系規(guī)劃前根據(jù)方案設(shè)計(jì)要素制定詳細(xì)調(diào)研、評估實(shí)施計(jì)劃,識別用戶系統(tǒng)存在的脆弱性、風(fēng)險(xiǎn)。>確定保護(hù)要求根據(jù)可識別風(fēng)險(xiǎn)結(jié)合客戶實(shí)際需求,確定最終保護(hù)要求。>規(guī)劃設(shè)計(jì)方案結(jié)合風(fēng)險(xiǎn)評估數(shù)據(jù)和客戶保護(hù)需求,并依據(jù)分級保護(hù)方案設(shè)計(jì)指南(BMB-23)規(guī)劃設(shè)計(jì)信息系統(tǒng)安全保障體系。>設(shè)計(jì)方案論證上報(bào)信息系統(tǒng)安全保障體系詳細(xì)設(shè)計(jì)方案到保密部門,并組織評審專家做一次論證。1.2.3工程實(shí)施>制定保密制度項(xiàng)目實(shí)施前根據(jù)工程具體情況制定涉密管理制度,嚴(yán)格對人員、設(shè)備、計(jì)劃實(shí)行保密控制。>選擇項(xiàng)目監(jiān)理項(xiàng)目實(shí)施前選擇具有單項(xiàng)監(jiān)理資質(zhì)的單位對工程保密、質(zhì)量、進(jìn)度、成本進(jìn)行控制。>選擇產(chǎn)品集成項(xiàng)目實(shí)施中產(chǎn)品集成方應(yīng)具有涉密資質(zhì),所有選購的安全產(chǎn)品應(yīng)符合保密要求。1.2.4系統(tǒng)測評>提交保密測評申請工程實(shí)施結(jié)束后向保密部門提出系統(tǒng)測評申請,由國家保密部門授權(quán)的系統(tǒng)測評機(jī)構(gòu)組織對涉密信息系統(tǒng)進(jìn)行安全性測評,為一次測評為系統(tǒng)最終審批提供依據(jù)。>提交系統(tǒng)測評資料根據(jù)國家保密部門授權(quán)的系統(tǒng)測評機(jī)構(gòu)要求提供所有測評必要的資料。1.2.5系統(tǒng)審批>提交運(yùn)行前審批申請涉密信息系統(tǒng)在上線運(yùn)行前需要向保密部門提出系統(tǒng)運(yùn)行審批申請,并組織最終審批結(jié)論專家做論證。>提交系統(tǒng)審批資料根據(jù)國家保密部門所屬審批單位范圍向授權(quán)的系統(tǒng)測評機(jī)構(gòu)要求提供所有審批必要的資料。1.2.6日常管理>制定安全保密管理制度涉密信息系統(tǒng)上線運(yùn)行后,根據(jù)分級保護(hù)管理規(guī)范制定管理策略、組建管理機(jī)構(gòu),設(shè)置專職保密管理人員并監(jiān)督制定的執(zhí)行。>定期風(fēng)險(xiǎn)自查涉密信息系統(tǒng)上線運(yùn)行后,根據(jù)使用單位具體情況進(jìn)行定期或不定期風(fēng)險(xiǎn)自評估工作,及時(shí)對系統(tǒng)運(yùn)行、技術(shù)、管理新出現(xiàn)的安全威脅制定安全策略與補(bǔ)充措施,并嚴(yán)格管理評估數(shù)據(jù)。>動(dòng)態(tài)調(diào)整安全防護(hù)技術(shù)涉密信息系統(tǒng)上線運(yùn)行后,根據(jù)使用單位系統(tǒng)更新情況與風(fēng)險(xiǎn)自評估數(shù)據(jù)及時(shí)發(fā)現(xiàn)存在的風(fēng)險(xiǎn),并動(dòng)態(tài)調(diào)整安全策略適時(shí)補(bǔ)充完善技術(shù)、管理的措施。1.2.7測評與檢查>涉密信息系統(tǒng)保密測評與檢査涉密信息系統(tǒng)上線運(yùn)行后,根據(jù)國家保密部門要求秘密、機(jī)密級信息系統(tǒng)每兩年進(jìn)行一次安全保密檢查,絕密級信息系統(tǒng)每一年進(jìn)行一次安全保密檢查。信息系統(tǒng)環(huán)境或應(yīng)用發(fā)生重大改變時(shí),重新上報(bào)設(shè)計(jì)方案進(jìn)行論證,并重新保密測評,檢測系統(tǒng)的安全保密措施的有效性和環(huán)境變化的適應(yīng)性,發(fā)現(xiàn)隱患及時(shí)采取相應(yīng)的補(bǔ)充保護(hù)措施。1.2.8系統(tǒng)廢止>提交系統(tǒng)廢止備案申請涉密信息系統(tǒng)不再使用時(shí),使用單位向保密工作部門提交系統(tǒng)廢止申請備案。>退密處理設(shè)備、產(chǎn)品依據(jù)保密規(guī)定對涉密設(shè)備、產(chǎn)品妥善退密處理。>銷毀涉密介質(zhì)對報(bào)廢處理的涉密介質(zhì)采用保密局統(tǒng)一規(guī)定使用的銷毀軟件工具,確保泄密事件不發(fā)生。1?3分級保護(hù)各相關(guān)方的職責(zé)劃分分級保護(hù)實(shí)施工程所涉及的主管部門與協(xié)作單位

協(xié)調(diào)單位實(shí)施內(nèi)容系統(tǒng)所有方國家保密局系統(tǒng)建設(shè)方產(chǎn)品集成方施工監(jiān)理方評審專家組授權(quán)測評單位結(jié)論專家組系統(tǒng)定級詳細(xì)系統(tǒng)識別★V明確處理信息的最咼密級★V確定系統(tǒng)的保護(hù)等級★V上報(bào)審核批準(zhǔn)★V系統(tǒng)保護(hù)級別變更★VV方案設(shè)計(jì)選擇有涉密資質(zhì)的建設(shè)方★對密級系統(tǒng)風(fēng)險(xiǎn)評估V★確定最終保護(hù)要求V★規(guī)劃設(shè)計(jì)、.1>>萬案V★上報(bào)審查論證★V工程實(shí)施制定實(shí)施保密控制制度★V選擇有涉密資質(zhì)的監(jiān)理方★選擇有涉密資質(zhì)的產(chǎn)品集成方★系統(tǒng)測評提交安全保密測評申請★V提交系統(tǒng)測評資料★V系統(tǒng)提交運(yùn)行★V

協(xié)調(diào)單位實(shí)施內(nèi)容系統(tǒng)所有方國家保密局系統(tǒng)建設(shè)方產(chǎn)品集成方施工監(jiān)理方評審專家組授權(quán)測評單位結(jié)論專家組審批前審批申請?zhí)峤幌到y(tǒng)審批資料★V日常管理制定安全保密管理制度★V組建安全保密機(jī)構(gòu)★設(shè)置安全保密專員★定期進(jìn)行風(fēng)險(xiǎn)自查★嚴(yán)格管理定密評估數(shù)據(jù)★動(dòng)態(tài)調(diào)整安全防護(hù)技術(shù)★V測評與檢查每2年進(jìn)行秘密、機(jī)密級系統(tǒng)保密檢查★V每1年進(jìn)行絕密級系統(tǒng)保密檢查★V定期進(jìn)行系統(tǒng)安全保密測評V★嚴(yán)格管理測評、檢查數(shù)據(jù)★系統(tǒng)廢止提交系統(tǒng)廢止備案申請★退密處理設(shè)備、產(chǎn)品★V銷毀處理涉密介質(zhì)★V

說明:★代表主要協(xié)調(diào)單位、部門,"代表輔助協(xié)調(diào)單位、部門。1.4用戶分級保護(hù)的實(shí)施要求管理要求內(nèi)容系統(tǒng)定級涉密信息系統(tǒng)建設(shè)使用單位應(yīng)根據(jù)系統(tǒng)所處理信息的最高密級,確定系統(tǒng)的保護(hù)等級,并將系統(tǒng)定級情況書面報(bào)本單位保密工作機(jī)構(gòu)或當(dāng)?shù)乇C芄ぷ鞑块T審批批準(zhǔn)。對于包含多個(gè)安全域的信息系統(tǒng),各安全域可以分別確定保護(hù)等級。涉密信息系統(tǒng)處理信息的密級和應(yīng)用情況發(fā)生變化時(shí),建設(shè)使用單位應(yīng)重新確定系統(tǒng)保護(hù)等級,并按相應(yīng)等級要求調(diào)整保護(hù)措施。方案設(shè)計(jì)選擇具有相應(yīng)涉密資質(zhì)的承建單位承擔(dān)活參與涉密信息系統(tǒng)的方案設(shè)計(jì)與實(shí)施。工程實(shí)施與監(jiān)理在工程實(shí)施期間,涉密信息系統(tǒng)建設(shè)使用單位應(yīng)按照BMB17-2006的要求進(jìn)行工程監(jiān)理。在進(jìn)行工程監(jiān)理是,應(yīng)選擇具有涉密工程監(jiān)理單項(xiàng)資質(zhì)的單位或組織自身力量在安全保密控制、質(zhì)量控制、進(jìn)度控制、成本控制、合冋管理和文檔管理留個(gè)方面加強(qiáng)監(jiān)督檢查定期的風(fēng)險(xiǎn)自評估涉密信息系統(tǒng)經(jīng)過審批投入運(yùn)行后,建設(shè)使用單位應(yīng)定期進(jìn)行風(fēng)險(xiǎn)自評估,分析由于系統(tǒng)需求及技術(shù)與管理因素變化而新出現(xiàn)的安全威脅,動(dòng)態(tài)調(diào)整安全朿略,適時(shí)補(bǔ)充和兀善技術(shù)與官理措施,以使系統(tǒng)保持與等級要求相一致的防護(hù)水平。1.5主管部門的管理手段管理要求內(nèi)容定級審批與備案管理系統(tǒng)定級情況書面報(bào)本單位保密工作機(jī)構(gòu)或當(dāng)?shù)乇C芄ぷ鞑块T審批批準(zhǔn)。國家保密工作部門負(fù)責(zé)受理備案并進(jìn)行備案管理。分級保護(hù)方案申批涉密信息系統(tǒng)建設(shè)使用單位應(yīng)對系統(tǒng)設(shè)計(jì)方案進(jìn)行申查論證,保密工作部門應(yīng)當(dāng)參與方案審查論證,在系統(tǒng)總體安全保密性方面加強(qiáng)指導(dǎo),嚴(yán)格把關(guān)。系統(tǒng)測評涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程施工結(jié)束后,應(yīng)向保密工作部門提出申請,由國家保密工作部門授權(quán)的系統(tǒng)測評機(jī)構(gòu)對涉密信息系統(tǒng)進(jìn)行安全保密測評,系統(tǒng)全面地驗(yàn)證所采取的安全保密措施能否滿足安全保密需求和安全目標(biāo),為涉密信息系統(tǒng)審批提供依據(jù)。系統(tǒng)審批國家對涉密信息系統(tǒng)拖入運(yùn)行實(shí)行行政審批制度。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)按照涉密信息系統(tǒng)申批管理辦法的規(guī)定進(jìn)行審批,通過審批后方可投入使用。未經(jīng)保密工作部門的審批,涉密信息系統(tǒng)不得投入使用。-國家保密局:負(fù)責(zé)審批中央和國家機(jī)關(guān)各部委及其所屬單位、國

防武器裝備科研生產(chǎn)一級保密資格單位的涉密信息系統(tǒng);-?。ㄗ灾螀^(qū)、直轄市)保密局:負(fù)責(zé)審批省及機(jī)關(guān)及其所屬單位、國防武器科研生產(chǎn)二、三級保密資格單位的涉密信息系統(tǒng);-市(地)級保密局:負(fù)責(zé)審批市(地)直機(jī)關(guān)及其所屬單位、縣直機(jī)關(guān)所屬單位的涉密信息系統(tǒng)。測評與檢查系統(tǒng)投入運(yùn)行后,秘密級、機(jī)密級信息系統(tǒng)應(yīng)每兩年至少進(jìn)行一次安全保密測評或保密檢查;絕密級信息系統(tǒng)應(yīng)每年至少進(jìn)行一次安全保密測評或保密檢查。涉密信息系統(tǒng)投入運(yùn)行后的安全保密測評,由負(fù)責(zé)該系統(tǒng)審批的保密工作部門組織系統(tǒng)評測機(jī)構(gòu)進(jìn)行系統(tǒng)廢止備案涉密信息系統(tǒng)不再使用時(shí),其建設(shè)使用單位應(yīng)向負(fù)責(zé)該系統(tǒng)審批的保密工作部門備案,并按照有關(guān)保密規(guī)定妥善處理涉及國家秘密信息的設(shè)備、產(chǎn)品、介質(zhì)和文檔資料。1?6分級保護(hù)對廠商和產(chǎn)品的資質(zhì)管理管理內(nèi)容資質(zhì)類型內(nèi)容涉密信息系統(tǒng)集成資質(zhì)甲級資質(zhì)甲級資質(zhì)單位可在全國范圍內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設(shè)計(jì)和實(shí)施業(yè)務(wù),并僅可承擔(dān)本單位承建的涉密信息系統(tǒng)的系統(tǒng)服務(wù)和系統(tǒng)咨詢工作,不得從事其它單項(xiàng)資質(zhì)業(yè)務(wù)。乙級資質(zhì)乙級資質(zhì)單位可在所限定的行政區(qū)域內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設(shè)計(jì)和實(shí)施業(yè)務(wù),并僅可承擔(dān)本單位承接的涉密信息系統(tǒng)的系統(tǒng)服務(wù)和系統(tǒng)咨詢工作,不得從事其它單項(xiàng)資質(zhì)業(yè)務(wù)。軍工系統(tǒng)集成單項(xiàng)資質(zhì)軍工系統(tǒng)集成單項(xiàng)資質(zhì)單位只能在所屬軍工集團(tuán)內(nèi)承接涉密信息系統(tǒng)集成業(yè)務(wù);單項(xiàng)資質(zhì):包括涉密信息系統(tǒng)的軟件開發(fā)、綜合布線、系統(tǒng)服務(wù)、系統(tǒng)咨詢、風(fēng)險(xiǎn)評估、屏蔽室建設(shè)、工程監(jiān)理、數(shù)據(jù)恢復(fù)和保密安防監(jiān)控等單項(xiàng)業(yè)務(wù)。單項(xiàng)資質(zhì)單位可在全國范圍內(nèi)承接所規(guī)定的單項(xiàng)業(yè)務(wù)。取得某一單項(xiàng)資質(zhì)的單位如需從事其它單項(xiàng)業(yè)務(wù),必須申請相應(yīng)的單項(xiàng)資質(zhì)。涉密信息系統(tǒng)風(fēng)險(xiǎn)評估資質(zhì)涉密信息系統(tǒng)風(fēng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論